【安全资讯】Donot组织持续攻击南亚政府和军事组织

引言

1月18日，研究人员披露了Donot组织近期攻击活动的细节。攻击者在此次活动使用了2种恶意软件变体：DarkMusical和Gedit，主要针对孟加拉国、斯里兰卡、巴基斯坦和尼泊尔等地的政府和军事组织、外交部和大使馆。

简况

Donot又名APT-C-35和SectorE02，至少从2016年开始活跃，此前国际特赦组织曾将其与印度的网络安全公司Innefu Labs联系起来。Donot组织每两到四个月向相同的目标发送带有恶意附件的鱼叉式钓鱼电子邮件，通过邮件使用恶意 Microsoft Office 文档来部署恶意软件。

2020年9月到2021年10月，Donot组织在活动中使用了“yty”恶意软件框架的两种变体：Gedit 和 DarkMusical。此外。研究人员将一个使用 Gedit 的特定活动命名为 Henos。

DarkMusical

Donot组织使用DarkMusical发起的第一次攻击发生在 2021 年 6 月，攻击针对孟加拉国的军事组织。2021年9月的第二次攻击针对尼泊尔军事组织。DarkMusical 由一系列下载器和释放器组成，启动一个基本后门，其任务是处理命令和控制 (C2) 服务器通信、文件和文件夹创建以及泄露数据。DarkMusical 攻击链如下图：

Gedit

2020年9月，Donot组织首次使用 Gedit 发起攻击，目标为巴基斯坦的组织，随后开始关注孟加拉国、尼泊尔和斯里兰卡。Gedit 恶意软件变种下载组件以保持持久性，还包含反向 shell 功能、屏幕截图功能，能够收集和窃取文件。Gedit 活动的攻击链如下图：

Henos

2021 年 2 月至 2021 年 3 月，Donot组织频繁攻击孟加拉国和斯里兰卡军事组织，攻击中使用了恶意软件的 Gedit 变体，但做了一些小的修改。因此，研究人员将这个活动命名为 Henos，Henos 活动的攻击链如下图：

总结

Donot组织利用yty恶意软件框架的变体，在过去两年中一直频繁地针对相同的组织发起攻击。